Onderwijs: MDR is essentieel wegens toenemende cyberdreigingen, door ESET
In de onderwijssector gaat cybersecurity niet alleen over het behoud van reputatie en het minimaliseren van financiële schade. Het speelt een cruciale rol in de bescherming van het welzijn van leerlingen en zorgt ervoor dat iedereen zijn of haar leerpotentieel volledig kan benutten. De uitdaging voor onderwijsinstellingen is dat ze over onvoldoende middelen beschikken tegen wendbare en vastberaden tegenstanders.
Een andere uitdaging voor deze instellingen is de diversiteit van hun tegenstanders. Financieel gemotiveerde cybercriminelen vormen de grootste bedreiging. Zij trachten scholen en universiteiten af te persen via ransomware, data te stelen voor identiteitsfraude en aanvallen met valse emails . Er zijn ook staatsactoren die de netwerken van universiteiten doorlopen op zoek naar baanbrekend onderzoek en om intellectuele eigendom voor hun landen te stelen. In 2024 heeft MI5 rectoren van meer dan 20 Britse universiteiten hierover geïnformeerd.
Er zijn ook minder evidente bedreigingen. Hacktivisten kunnen schade aanrichten en IT-beveiligingsteams afleiden, maar ook nieuwsgierige leerlingen willen soms hun vaardigheden testen. De Britse toezichthouder onthulde dat meer dan 50% van de cyberaanvallen op scholen door leerlingen worden gepleegd.
Cybercriminelen en staatsactoren hebben al de nodige tools en de knowhow nodig om geavanceerde inbraakpogingen in de sector te plegen. Ze komen als een verrassing en hebben een groot aanvalsoppervlak als doel. Ze gebruiken AI voor social engineering, het opsporen van slachtoffers, het onderzoeken van kwetsbaarheden en het ontwikkelen van exploits. AI verlaagt de drempel voor minder ervaren cybercriminelen en kant-en-klare phishing- en exploitkits bieden dezelfde voordelen.
De diensten van ‘infostealers as a service’ hebben de impact nog vergroot en hebben geleid tot een vloedgolf aan gecompromitteerde inloggegevens in het cyber-criminele circuit. Dit vereenvoudigt de toegang, zodat indringers ongezien langs de digitale voordeur kunnen binnenstappen. Ze blijven verborgen door ‘living-off-the-land’-technieken en door zich te richten op identiteitssystemen.
Het businessmodel achter cybercriminaliteit vergroot het schaalvoordeel dat cybercriminelen hebben tegenover netwerkbeveiligers. Initial Access Brokers (IAB’s) en ransomware-as-a-service (RaaS)-modellen zorgen er voor dat experts op een specifiek gebied het grootste werk doen voor meer generalistische aanvallers. Groepen zoals Qilin, Fog en SafePay zijn gespecialiseerd in het aanvallen van scholen, hogescholen en universiteiten.
Veel onderwijsinstellingen hebben moeite om met beperkte middelen hun gebruikers, netwerken en gegevens te beschermen. Volgens een rapport zijn ransomware-aanvallen op de sector in de eerste helft van 2025 met 23% gestegen ten opzichte van een jaar eerder.
Scholen en universiteiten beschikken vaak over omvangrijke IT-omgevingen met systemen op locatie en in de cloud, afstandsonderwijs en onbeheerde BYOD-systemen. Netwerken zijn meestal niet gesegmenteerd en soms moeten studenten uit landen als China en Rusland tijdens het verlof toegang hebben.
Overbelaste IT- en beveiligingsteams zijn steeds bezig met het oplossen van acute problemen, terwijl ze veiligere omgevingen zouden moeten uitbouwen. Ook het gebrek aan security-ondersteuning tijdens weekends en vakantie maakt deze instellingen meer kwetsbaar dan andere.
Managed Detection and Response (MDR) kan helpen bij enkele van de meest urgente uitdagingen. Door detectie en respons voor bedreigingen te outsourcen aan een derde partij, profiteren scholen, hogescholen en universiteiten van een 24/7/365-dekking. Dit betekent dat zodra een inbraak of verdachte activiteit wordt gedetecteerd -waar dan ook in de IT-omgeving – deze snel aangepakt en tegengehouden kan worden.
MDR-providers beschikken over meer hooggekwalificeerde professionals in hun Security Operations Center (SOC) en hebben ook toegang tot geavanceerdere analysetools en dreigingsinformatie om de detectiepercentages te verhogen.
MDR is niet zoals het inzetten van een nieuwe dienst. Voor de beste resultaten moet een provider de detectieregels, uitsluitingen en parameters aan de IT-omgeving en specifieke bedreigingen aanpassen. Hij moet een snelle implementatie combineren met geoptimaliseerde detectieprestaties. MDR moet 24/7/365 operationeel zijn, zodat aanvallen zo vroeg mogelijk gestopt worden.
Technologie is essentieel voor MDR, maar “enkel” als hulpmiddel voor ervaren SOC-analisten. Updates uit telemetriegegevens moeten verzameld en geanalyseerd worden door deskundige teams om aanvalsmethoden en effectieve tegenmaatregelen bloot te leggen. Voor geavanceerde aanvallen moet de MDR-provider proactieve technieken voor het opsporen van bedreigingen gebruiken.
Veel MDR-providers zorgen ook voor herstel en reparatie als een dreiging ontdekt is. De optie die het beste bij de behoeften past, wordt dan gekozen. De MDR-diensten moeten naadloos integreren met de rest van de IT-processen, zoals tools voor incidentenbeheer en interne workflows. De MDR-provider moet voldoen aan alle wettelijke vereisten met betrekking tot gegevens-privacy, bewaartermijnen of -opslag en/of verzekeringsbepalingen.
De financiële impact van een beveiligingslek kan aanzienlijk zijn, net als de reputatieschade die potentiële studenten ervan kan weerhouden zich in te schrijven. Maar de verstoring van het onderwijs is de meest verraderlijke impact. Deze staat niet in de jaarrekeningen, maar kan een grote impact hebben op de sociale ongelijkheid en het verwachte levenslange inkomen van studenten.
Cyberbeveiliging is geen extra IT-kostenpost. Het is essentieel voor de missie van het onderwijs.
Dit artikel is geschreven door een van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.
